Tweede Kamer der Staten-Generaal 



Vergaderjaar 2015-2016 Aanhangsel van de Handelingen 


Vragen gesteld door de leden der Kamer, met de daarop door de 
regering gegeven antwoorden 


497 


Vragen van de leden Grashoff en Voortman (beiden Groenlinks) aan de 
Ministers van Financiën, van Volksgezondheid, Welzijn en Sport en van 
Veiligheid en Justitie inzake het bieden van premiekorting in ruii voor 
privédata door verzekeraar Achmea (ingezonden 15 oktober 2015). 

Antwoord van Minister Dijsselbloem (Financiën), mede namens de Ministers 
van Volksgezondheid, Welzijn en Sport Minister en van Veiligheid en Justitie 
(ontvangen 5 november 2015). 

Vraag 1 

Bent u bekend met het bericht dat Achmea voornemens is premiekorting te 
bieden aan verzekerden, in ruil voor persoonlijke gedragsgegevens?^ 

Antwoord 1 
Ja. 

Vraag 2 

Kunt u aangeven of er nu al verzekeringen worden aangeboden waarbij 
premiekorting wordt geboden in ruil voor bijvoorbeeld persoonlijke gedrags- 
gegevens? 

Antwoord 2 

Verzekeraars hebben informatie nodig om een inschatting te maken van het 
risico dat zij verzekeren. Het is niet ongebruikelijk dat verzekeraars daarbij 
gebruik maken van persoonlijke gedragsgegevens. Zo wordt bijvoorbeeld al 
jaren gevraagd naar rookgedrag bij diverse verzekeringen. Uit het recente 
rapport «Berekende risico's» van het Rathenau Instituut^ blijkt dat verschil¬ 
lende verzekeraars zich bezighouden met het meten van klantgedrag. Het is 
voorstelbaar dat verzekeraars dit kunnen gebruiken als instrument om risico's 
te voorkomen of beperken. 

Zolang verzekeraars zich aan de wet houden, is er geen reden op te treden. 
Het relevante wettelijke kader bestaat - voor wat betreft de verwerking van 
persoonsgegevens - uit de Wet bescherming persoonsgegevens (Wbp). Het is 


' http;//www.z24.nl/ondernemen/verzekenngsreus-achmea-als-klant-data-van-slimme- 
thermostaat-en-autokastje-geeft-knjgt-ie-lagere-premie-590153 
^ Timmer, T., I. Elias, L. Kool & R. van Est, Berekende risico's. Verzekeren in de 
datagedreven samenleving, Den Haag, Rathenau Instituut 2015, http://www.rathenau.nl/ 
publicaties/publicatie/berekende-risicos-verzekeren-in-de-datagedreven-samenleving.htmi. 
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aan het Cbp om te beoordelen of de Wbp wordt nageleefd. Voorwaarden uit 
de Wbp zijn onder andere dat persoonsgegevens voor een bepaald vastge¬ 
steld doel moeten worden verzameld en dat degene van wie de persoonsge¬ 
gevens zijn, daarover moet worden geïnformeerd. Ook mogen persoonsgege¬ 
vens niet langer dan wettelijk toegestaan bewaard worden en is adequate 
beveiliging verplicht. Verder is een wettelijke grondslag voor de gegevensver¬ 
werking vereist. 

Vraag 3 

Mag Achmea persoonlijke gedragsgegevens die zijn verzameld voor de auto- 
of inboedelverzekering gebruiken voor het beoordelen van andere verzekerin¬ 
gen van dezelfde klant of voor het opstellen van risicoprofielen voor 
bijvoorbeeld (aanvullende) zorgverzekeringen of om bijvoorbeeld de hoogte 
van de premie per verzekerde te differentiëren op basis van het risicoprofiel? 

Antwoord 3 

Persoonsgegevens die zijn verzameld voor een bepaald doel mogen niet 
zondermeer gebruikt worden voor een ander doel. Het is afhankelijk van de 
overeenkomst of de verwerking van persoonsgegevens ten behoeve van de 
betreffende diensten mogelijk is gemaakt. De gebruiksvoorwaarden moeten 
voldoende duidelijk en specifiek omschrijven dat de gegevens kunnen 
worden verwerkt voor de onderhavige doeleinden. Voor zover de overeen¬ 
komst tekortschiet, moet er zijn voldaan aan een van de andere rechtvaardi¬ 
gingsgronden uit artikel 8 Wbp. Toestemming van de betrokkene kan dan een 
rechtvaardigingsgrond zijn (artikel 8, onder a). 

Bij de basiszorgverzekering geldt overigens een verbod op premiedifferenti¬ 
atie. Persoonsgegevens die verzameld zijn voor andere schadeverzekeringen 
mogen daarom niet worden gebruikt voor een premiekorting op de basiszorg¬ 
verzekering. 

Voor het gebruik van persoonsgegevens voor bijvoorbeeld premiedifferenti¬ 
atie bij de aanvullende zorgverzekering geldt wat voor andere verzekeringen 
geldt. 

Vraag 4 

Op welke wijze wordt toegezien op voorlichting aan (aspirant)verzekerden 
over het gebruik van de gegevens en de mogelijke consequenties daarvan? 

Antwoord 4 

In het algemeen geldt dat de verantwoordelijke voor gegevensverwerking (in 
dit geval Achmea) verplicht is om de betrokkene te informeren over de 
doeleinden van de verwerking van persoonsgegevens, tenzij de betrokkene 
daarvan reeds op de hoogte is. Dit volgt uit artikel 33 en 34 van de Wbp. De 
verantwoordelijke dient bovendien nadere informatie te verstrekken voor 
zover dat nodig is om een behoorlijke en zorgvuldige verwerking te waarbor¬ 
gen jegens de betrokkene, gelet op de aard van de gegevens, de omstandig¬ 
heden waaronder de gegevens worden verkregen of het gebruik dat ervan 
wordt gemaakt (artikel 33, derde lid, en 34, derde lid, Wbp). De verantwoorde¬ 
lijken dienen dus aan hun informatieverplichtingen invulling te geven. 
Daaronder vallen ook de privacyrisico's verbonden aan het delen van de 
privégegevens. Het CBP ziet toe op naleving van de Wet bescherming 
persoonsgegevens. 

Vraag 5 

Welke sancties staan op misbruik van de gegevens en wat zou onder 
misbruik worden verstaan? 

Antwoord 5 

Het gebruik van persoonsgegevens in strijd met de Wbp is aan te merken als 
misbruik. Overtreding van de Wbp kan worden gesanctioneerd met bestuur¬ 
lijke boetes (vanaf 1 januari 2016) of een last onder dwangsom. 

Vraag 6 

Is het Achmea toegestaan om gedetailleerde persoonsgegevens te delen of 
door te verkopen aan andere bedrijven of derden of aan hen de mogelijkheid 
te geven gedetailleerde persoonlijke gedragsgegevens te verzamelen als 
bijproduct van een verzekering? 
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Antwoord 6 

Het staat Achmea op grond van de Wbp niet vrij om persoonsgegevens op 
een later moment alsnog met derden te delen, indien zij daarvoor geen 
toestemming heeft van de verzekerden of een andere grondslag uit de Wbp 
daarin voorziet, zoals een overeenkomst die dit specifiek regelt. De Artikel 29 
Werkgroep, waaronder alle nationale gegevensbeschermingsautoriteiten 
(zoals het Cbp) in de EU vallen, heeft in 2013 aangegeven dat een doel dat 
vaag of algemeen is omschreven - zoals het verbeteren van gebruikerserva- 
ring, of marketingdoelen - zonder verdere detaillering niet voldoet aan de eis 
van doelbinding. Dan zou niet zijn voldaan aan de eis van welbepaalde, 
uitdrukkelijk omschreven en gerechtvaardigde doeleinden voor gegevensver¬ 
werking.^ Die eis is opgenomen in artikel 6, eerste lid, onder b, van de 
privacyrichtlijn"* en artikel 7 Wbp. 

Vraag 7 

Mag Achmea klanten weigeren als zij geen gebruik wensen te maken van de 
privacyschendende apparaten? 

Antwoord 7 

Achmea onderzoekt op dit moment alleen de mogelijkheden nog om gebruik 
te maken van nieuwe persoonlijke data. Het staat Achmea vrij om voorwaar¬ 
den te stellen aan klanten. Dit is thans ook al mogelijk, denk bijvoorbeeld aan 
het weigeren van een persoon voor een aanvullende zorgverzekering of het 
differentiëren van de premie voor een levensverzekering naar rookgedrag. 
Achmea is vanzelfsprekend verplicht de wet na te leven. Een beding in de 
algemene voorwaarden bij de verzekering is bijvoorbeeld vernietigbaar, als 
dit onredelijk bezwarend is voor de verzekerde (artikel 6:233 BW). Een 
verzekeraar dient voorts te voldoen aan haar informatieplicht op grond van 
de Wbp. Klanten moeten worden geïnformeerd over de privacyrisico's die 
verbonden zijn aan het delen van privégegevens. Is een klant het niet eens 
met de voorwaarden die de verzekeraar stelt, dan kan hij kiezen voor een 
andere verzekeraar. 

Vraag 8 

Welke maatschappelijke effecten kunnen naar uw verwachting optreden als 
grote delen van de bevolking kortingen bedingen op verzekeringen door 
toegang te bieden tot hun persoonlijke gedragsgegevens? 

Antwoord 8 

Als grote delen van de bevolking kortingen bedingen op hun verzekeringen 
door toegang te bieden tot hun persoonlijke gedragsgegevens kan dit allerlei 
maatschappelijke effecten hebben. In zijn algemeenheid zal binnen de 
contractsvrijheid vermoedelijk gezocht worden naar nieuwe evenwichten 
tussen het organiseren van solidariteit en het adequaat beprijzen van risico's. 
De hoogte van de premie kan meer worden toegesneden op het daadwerke¬ 
lijke risicoprofiel van de verzekerde. Dit zou kunnen leiden tot daling van de 
gemiddelde premie voor verzekeringen, maar tegelijkertijd tot het toenemen 
van verschillen in premie tussen klanten. Ook andere effecten zijn denkbaar, 
zoals die worden geïdentificeerd in het recente rapport «Berekende risico's» 
van het Rathenau Instituut. Daaruit blijkt dat een eventueel toekomstig 
verzekeringsmodel dat is gedreven door persoonsgegevens over gedrag, 
gericht op preventie van risico, tot een sterkere, normatieve invloed van de 
verzekeraars kan leiden. Het Rathenau Instituut stelt dat om de mogelijkheden 
van big data op een verantwoorde manier te benutten, er ruimte moet zijn 
voor experimenten, maar tegelijkertijd ook voor reflectie en evaluatie, met 
inachtneming van publieke waarden als solidariteit. 


^ Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation, biz. 15 en 16, 
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/ 
files/2013/wp203_en.pdf. 

’ Richtlijn 95/46/EG van het Europees parlement en de Raad van 24 oktober 1995 betreffende de 
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens 
en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281). 
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